การจัดการ Security Incidents บน Athena XDR (Handling & Analysis) – บริษัท ซังฟอร์ เทคโนโลยี (ประเทศไทย) จำกัด

ภาพรวมการจัดการ Security Incidents

ที่ส่วนบนของหน้า Security Incidents มีปุ่มดำเนินการต่างๆ สำหรับจัดการ security incidents ได้แก่ Fix Incident, Mark As, Add to Whitelist นอกจากนี้ยังสามารถ hover เมาส์เหนือ incident แล้วคลิกไอคอน edit เพื่อแก้ไขชื่อและคำอธิบายได้ หรือคลิกขวาที่ incident เพื่อเข้าถึงเมนูดำเนินการเพิ่มเติม

Mark As - การเปลี่ยนสถานะ Incident

ใช้สำหรับเปลี่ยนสถานะของ security incident โดยสถานะที่สามารถเลือกได้ ได้แก่:

Pending - รอดำเนินการ
Fixing - กำลังแก้ไข
Fixed - แก้ไขเรียบร้อย
Ignored - เพิกเฉย

สามารถเลือก incident หนึ่งหรือหลายรายการแล้วคลิก Mark As เพื่อเปลี่ยนสถานะพร้อมกัน หรือคลิกขวาที่ incident เพื่อเปลี่ยนสถานะจากเมนู context ได้เช่นกัน

Fix Incident - การตอบสนองต่อ Incident

เลือก action ที่ต้องการเพื่อตอบสนองต่อ security incident โดยมีตัวเลือกดังนี้:

Block - บล็อก threat entities ของ security incident อย่างรวดเร็ว โดยทำงานร่วมกับ integrated component เช่น Network Secure และ Endpoint Secure
Execute SOAR Playbook - ตอบสนองโดยอัตโนมัติตาม predefined SOAR playbook
Execute SOAR Action - ดำเนินการ SOAR-supported response actions อย่างอิสระ รวมถึง connectivity tests และ custom responses กับ third-party devices
Initiate Ticket - สร้าง ticket อัตโนมัติตาม predefined ticket process

Security Incident Details page with Block Address dialog for threat response

Add to Whitelist

เพิ่ม security incident เข้าสู่ whitelist เพื่อลด noise จาก false positive incidents

Edit Incident - แก้ไขชื่อและคำอธิบาย

คลิกขวาที่ชื่อ security incident แล้วเลือก Edit Incident จากนั้นแก้ไขชื่อและคำอธิบายของ incident ในหน้าต่างที่ปรากฏ

Quick Block - การบล็อกภัยคุกคามอย่างรวดเร็ว

ฟีเจอร์ Quick Block ใช้สำหรับบล็อก threat entities เช่น external attackers และ malicious domain names อย่างรวดเร็ว โดยทำงานร่วมกับ network และ endpoint capabilities เพื่อป้องกันภัยคุกคามจากภายนอกเข้าสู่เครือข่ายภายในและป้องกันข้อมูลสำคัญรั่วไหล

ข้อกำหนด: ฟีเจอร์นี้ใช้ได้เฉพาะเมื่อ Sangfor XDR เชื่อมต่อกับ Network Secure หรือ Endpoint Secure

ขั้นตอนการใช้ Quick Block

Step 1. ไปที่ Detection & Response > Security Incidents เลือก incident ที่ต้องการ คลิก Fix Incident แล้วเลือก Block ระบบจะดึง public IP addresses และ malicious domain names โดยอัตโนมัติ

Step 2. ในหน้าต่าง Block จะเลือก Network Secure เป็น network-side device โดยค่าเริ่มต้น หากต้องการ endpoint-side block ให้เลือก Host ระบบจะเลือก endpoint-side device ที่เหมาะสมโดยอัตโนมัติ

Step 3. คลิก OK เพื่อดำเนินการ

หลังจากบล็อกแล้ว สถานะ incident จะเปลี่ยนเป็น Blocked ดูรายละเอียดได้ที่ Detection & Response > Responses

หมายเหตุเกี่ยวกับ Quick Block

ค่าเริ่มต้นจะเลือก public IP addresses และ domain names โดย hosts จะไม่ถูกเลือก
หากเลือก host ระบบจะเลือก endpoint-side device สำหรับ quick block operation โดยอัตโนมัติ
IP addresses และ domain names ที่ถูกบล็อกจะถูก permanently blocked ใน Network Secure
ตรวจสอบได้ที่ Network Secure console ภายใต้ SOC > Blacklist/Whitelist > Blacklist > Global Blacklist

Incident Analysis - การวิเคราะห์ Security Incident

เข้าสู่หน้ารายละเอียดของ security incident โดยไปที่ Detection & Response > Security Incidents แล้วคลิกชื่อ incident หน้า incident details จะแสดงข้อมูลดังนี้:

Attack chain ที่สมบูรณ์จากการวิเคราะห์ network-endpoint
ATT&CK tactics และ techniques ที่ถูกใช้ในการโจมตี
Attack history ของ affected asset
Timeline แสดงลำดับเหตุการณ์เพื่อเข้าใจว่า attacker เข้าถึงเป้าหมายอย่างไร

ATT&CK Framework Analysis

ATT&CK เป็น framework ที่พัฒนาโดย MITRE สำหรับจำลองพฤติกรรมของ attacker โดย Sangfor XDR จะแสดง ATT&CK tactics และ techniques ที่ถูกใช้ในแต่ละ incident ช่วยให้เข้าใจชัดเจนว่า attacker ใช้วิธีการอะไรในการโจมตี

การวิเคราะห์ Attack Steps

Attack Step tab แสดง key attack steps เป็นค่าเริ่มต้น สามารถดู attack steps ทั้งหมดได้โดย hover เมาส์เหนือ process แล้วคลิกไอคอน (+) ระบบมี intelligence tags แสดงข้อมูลความปลอดภัยของ IP addresses, domain names, files และ processes พร้อมคำอธิบาย key process และ common malicious exploits ช่วยลดความซับซ้อนในการวิเคราะห์

การวิเคราะห์ผ่าน IOA Engine

สามารถคลิก key process เพื่อดู threat alerts จาก IOA engine โดย alerts หลายรายการจะถูกรวมเป็น security incident เดียว สามารถดูรายละเอียดของแต่ละ alert ได้ รวมถึง process ที่เกี่ยวข้อง, cloud threat intelligence status, file path, ATT&CK techniques ที่ถูก hit และ executed commands นอกจากนี้ยังสามารถคลิก parent process เพื่อดู key evidence ของ child processes ลดความซับซ้อนในการวิเคราะห์

การวิเคราะห์ผ่าน Threat Entities

Threat Entities tab แสดง threat entities ทั้งหมดที่ระบบวิเคราะห์ได้ ได้แก่ public IP addresses, internal IP addresses, domain names, hosts, files และ processes พร้อม data enrichment เช่น threat intelligence tags และ asset information tags

เลือก IP address ที่ต้องการบล็อก แล้วคลิก Block Address
คลิก View Intelligence เพื่อดูข้อมูล threat intelligence จาก Sangfor Threat Intelligence platform

หมายเหตุสำหรับการบล็อก IP: หาก IP เป็น internal address ควรติดต่อ Sangfor security expert เพื่อวิเคราะห์ก่อน และการบล็อก IP ที่ชี้ไปยัง CDN หรือ ISP egress อาจกระทบผู้ใช้จำนวนมาก

สรุปการวิเคราะห์

จากหลักฐานที่ Sangfor XDR ให้ไว้ ทีม SOC สามารถ:

ระบุได้ชัดเจนว่า security incident เป็น true positive หรือ false positive
เข้าใจ malicious operations ที่ attacker ดำเนินการหลังจาก intrusion
ทราบ commands ที่ถูก execute, malicious files ที่ดาวน์โหลด และ persistence measures ที่ถูกติดตั้ง
นำข้อมูลไปใช้วางแผนมาตรการป้องกันเพิ่มเติม